Hinweise zum Datenschutz

  • Identity Provider sollten grundsätzlich in der Lage sein, einen empfohlenen Mindestsatz an Attributen zu generieren und zu übertragen. Dies bedeutet jedoch nicht, dass diese Attribute ungefragt an jeden beliebigen Service Provider übertragen werden sollten.
  • Attributfreigaben sollten nur unter Beachtung der aktuell gültigen Datenschutzgesetze und -bestimmungen erfolgen. Beachten Sie das Prinzip der Datensparsamkeit: Übertragen Sie nur die Attribute und Attributwerte, die zur Nutzung des jeweiligen Dienstes erforderlich sind.
  • Konsultieren Sie hierzu den*die Datenschutzbeauftragte*n Ihrer Heimateinrichtung.
  • Außer in Ausnahmefällen (mit dem/der Datenschutzbeauftragten abzustimmen), sollte ein IdP-seitiges User Consent Modul zum Einsatz kommen. Es ermöglicht den Nutzer*innen, die zu übertragenden Attribute und Attributwerte zu kontrollieren und ihre Übertragung ggf. zu unterbinden. Siehe hierzu auch die Seite Beispiel für eine EU-DSGVO-konforme Konfiguration des User Consent Moduls.
  • Auch für SPs: Auf europäischer Ebene existiert seit 2013 der im eduGAIN-Kontext entwickelte GÉANT Data Protection Code of Conduct for Service Providers in EU/EEA (CoCo), eine Selbstverpflichtungserklärung für Service Provider, deren Umsetzung mit verschiedenen technischen Maßnahmen von eduGAIN- und Föderationsseite unterstützt wird. Zu technischen Details siehe unter Entity Attribute sowie unter Attribut-Konfiguration für Code of Conduct-SPs.
    Einige grundsätzliche Überlegungen zum Thema Attributfreigabe im Rahmen des Code of Conduct finden sich REFEDS-Wiki.

AAI und Datenschutz

Shibboleth und Datenschutz

  • Zuletzt geändert: vor 2 Wochen